Función de Helpdesk y administradores locales

Navega tus respuestas
0

Necesito volver a trabajar nuestro modelo de seguridad actual para computadoras de escritorio, y me gustaría saber qué cambios se pueden hacer, así como las mejores prácticas.

Actualmente tenemos la función de servicio de asistencia que se publica a través de GPO para agregarla al grupo de administradores locales en las computadoras. Para los usuarios que requieren ser administradores locales, les negamos el acceso de su computadora al GPO y agregamos su cuenta al grupo de administradores locales. Esto plantea un problema cuando el personal de nuestro servicio de asistencia debe trabajar en la computadora cuando el usuario administrador local no está presente. Los antiguos administradores (es decir, ya no trabajan aquí) colocaron a los usuarios en la función de servicio de asistencia que solo necesitaba el uso de un administrador local en su computadora.

Ahora tenemos 30 usuarios avanzados que ahora están comenzando a darse cuenta de que pueden acceder a \ computername \ c $ shares.

¿Cómo puedo eliminar el conflicto del servicio de asistencia / administración local sin crear GPO para cada cuenta de computadora?

¿Puedo deshabilitar los recursos compartidos de administración local para un grupo específico y agregar nuestros usuarios avanzados a ese grupo o no es una buena política?

    
pregunta AWippler 12.12.2013 - 17:54
fuente

1 respuesta

1

Este es un ejemplo perfecto de cómo entran en juego los grupos de seguridad y el concepto de mejores prácticas de separación de tareas.

Cree grupos de seguridad para sus usuarios , por rol departamental o funcional, uno de esos grupos de seguridad debería ser algo como "Helpdesk-LocalAdmin" (elija algo que sea compatible con su propia convención de nombres) si no Si no tiene una convención de nomenclatura estandarizada, nunca es demasiado tarde para establecer una).

Crea una política de grupo, llámala como "HelpdeskLocalAdmin" y:

  • Expanda "Configuración del equipo \ Directivas \ Configuración de Windows \ Configuración de seguridad \ Grupos restringidos"
  • En el panel derecho de "Grupos restringidos", haz clic derecho y presiona "Agregar grupo ..."
  • Escriba el nombre de su grupo de administradores locales de Helpdesk, es decir: Helpdesk-LocalAdmin y presione 'OK "
  • Haga clic en Agregar debajo de "Este grupo es miembro de:"
  • Agregue el grupo "Administradores".
  • Haz clic en Aceptar

Ahora, para cada personal de Helpdesk a quien se le debe otorgar acceso a la cuenta de administrador local, agréguelos al grupo de seguridad "Helpdesk-LocalAdmin" y se aplicará el GPO automáticamente.

Explicación: Cada "privilegio" en un entorno de red / computación debe ser "denegación predeterminada", lo que significa que los usuarios deben tener acceso explícito a los recursos de red / servidor / aplicación. Esto le permite controlar muy específicamente quién tiene acceso a qué, en lugar de intentar negar posteriormente a quienes no deberían tener acceso y hacer un seguimiento de ellos.

    
respondido por el Panther Modern 12.12.2013 - 19:42
fuente

Lea otras preguntas en las etiquetas

Buscando ayuda para implementar SCRAM en .NET Hacer un objetivo de inyección de contenido [cerrado]